2. AGENDA
Introduction et concepts
Méthodologies et normes
Concrètement
Outillage
Retours d’expérience
Facteurs clés de succès
Conclusion et questions
3. AGENDA
Introduction et concepts
Méthodologies et normes
Concrètement
Outillage
Retours d’expérience
Facteurs clés de succès
Conclusion et questions
4. INTRODUCTION
Objectifs :
A partir des principales normes et méthodologies actuelles, en
présenter les principaux concepts puis apporter des retours
d’expérience
Ceci afin de donner les clés permettant de réaliser des
analyses de risque pertinentes et efficaces
Limites :
La présentation se limitera à l’analyse de risque SI
uniquement
5. CONCEPTS ET VOCABULAIRE
DU RISQUE AU « SCÉNARIO DE RISQUE »
Fenêtre ouverte =
Vulnérabilité
Risque = Vol de matériel
ou d’informations
Passant = Menace
Scénario de Risque =
Combinaison d’une menace
et d’une vulnérabilité dont
l’impact sur l’activité n’est
pas anodin.
6. CONCEPTS ET VOCABULAIRE
LA TERMINOLOGIE COURANTE (1/2)
Menaces
Ce sont les choses ou les personnes à l’origine des risques. On
peut distinguer plusieurs types de menaces (humaines,
techniques, environnementales notamment)
Vulnérabilité
Il s’agit d’une lacune dans les dispositifs et mesures de
sécurité en place qui permettent ou facilitent la concrétisation
du risque
Actif/activité essentiel(le) (aussi appelé bien essentiel dans
certaines méthodologies)
Ce sont les composants ou les activités sur lesquels on va
« appliquer » l’analyse de risques
Actif support (aussi appelé bien support dans certaines
méthodologies)
Ce sont les composants d'un système d'information sur
lesquels reposent les biens essentiels et/ou les mesures de
sécurité. On trouvera généralement les biens relatifs aux
systèmes d’informations et de téléphonie, ceux relatifs à
l’organisation et ceux relatifs aux locaux.
7. CONCEPTS ET VOCABULAIRE
LA TERMINOLOGIE COURANTE (2/2)
Probabilité d’occurrence (parfois appelé potentialité)
Probabilité que la menace se concrétise « dans l’absolu »,
sans tenir compte des vulnérabilités.
Impact
Ce sont les conséquences d’une réalisation d’un scénario de
risque sur l’activité métier. Il existe des impacts directs
(financiers, image, par exemple) et des impacts indirects
(désorganisation , réglementaire ou juridique). La mesure
des impacts est primordiale dans le sens où c’est elle qui va
déterminer le niveau du risque.
Risque
Probabilité qu’une menace puisse exploiter une
vulnérabilité d’un actif ou d’un groupe d’actifs et cause un
impact non négligeable sur l’organisation ou ses activités
(ISO 27005).
8. CONCEPTS ET VOCABULAIRE
TRAITEMENT DU RISQUE
Evitement
Arrêt de l’activité (ou du projet)
Réduction
Implémentation de mesures de sécurité
Transfert
Assurance
Acceptation
Le métier décide de ne rien faire
9. AGENDA
Introduction et concepts
Méthodologies et normes
Concrètement
Outillage
Retours d’expérience
Facteurs clés de succès
Conclusion et questions
10. MÉTHODOLOGIES ET NORMES
Plus de 200 méthodologies existantes
Globales
Sectorielles
En France, les plus connues sont
EBIOS, produite par l’ANSSI
Outil EBIOS
MEHARI, produite par le CLUSIF
11 langues
25.000 téléchargements de la base de connaissance
Outil RISICARE
IRAM, produite par l’ISF
Réservée aux membres de l’ISF
Plutôt pour des entreprises de grande ampleur
internationale (méthodologie en anglais)
11. MÉTHODOLOGIES ET NORMES
MEHARI – CLUSIF
Phase préparatoire Phase
préparatoire
Prise en compte du contexte
Définition des métriques
Identification des activités essentielles Phase
opérationnelle
Identification des actifs support (potentialité et impact intrinsèques) d’analyse des
risques
Phase opérationnelle
Analyse des vulnérabilités
Analyse des menaces Phase de
planification
Identification de la potentialité et de l’impact du traitement
Identification de la gravité du risque
Confrontation de (la potentialité et de l’impact) avec la gravité
Décisions sur la gestion des risques
Planification et traitement
Plan de traitement des risques et amélioration continue
12. MÉTHODOLOGIES ET NORMES
EBIOS – ANSSI
Contexte Contexte
Prise en compte du contexte
Définition des métriques Evénements Scénarios de
Identification des activités essentielles redoutés menaces
Identification des actifs support
Evènements redoutés Risques
Identification des impacts
Scénarios de menace
Analyse des vulnérabilités Mesures de
sécurité
Analyse des menaces
Identification des probabilités d’occurrence
Etude des risques
Confrontation des scénarios de menace (probabilité d’exploitation des
vulnérabilités par les menaces) avec les évènements redoutés (impact)
Décisions sur la gestion des risques
Etude des mesures de sécurité
Plan de traitement des risques et amélioration continue
13. MÉTHODOLOGIES ET NORMES
ISO/IEC 27005 – INTERNATIONAL STANDARD ORGANISATION
Etude du contexte
Etude du contexte
Appréciation des risques
Prise en compte du contexte
Communication des risques
Analyse des risques
Définition des métriques Identification des
risques
Identification des risques
Suivi et revue
Identification des activités essentielles Estimation des risques
Identification des actifs support
Evaluation des risques
Analyse des menaces
Analyse des vulnérabilités Traitement du risque
Identification des conséquences
Acceptation du risque résiduel
Estimation des risques
Confrontation des menaces avec
les vulnérabilités et les conséquences possibles
Identification des probabilités d’occurrence
Evaluation des risques (revue)
Traitement du risque
Amélioration continue
14. MÉTHODOLOGIES ET NORMES
SYNTHÈSE
Les méthodologies s’alignent sur la norme ISO/IEC 27005
Les méthodologies sont semblables…
Implémentation des mêmes concepts
Propositions d’outils et de bases de connaissances
Mais différentes
Vocabulaire
Organisation de la démarche
L’ISO/IEC 27005 ne propose pas de méthode
Elle propose les règles pour concevoir une méthode
Par conséquent pas d’outils, mais des bases de connaissance issues
d’EBIOS
Une alternative est de concevoir sa propre méthode, en s’alignant sur
les concepts de l’ISO 27005. A défaut, EBIOS est assez proche.
15. AGENDA
Introduction et concepts
Méthodologies et normes
Concrètement
Outillage
Retours d’expérience
Facteurs clés de succès
Conclusion et questions
16. COMMENT S’Y PRENDRE CONCRÈTEMENT ?
AVANT DE SE LANCER
Répondre à la question « A quoi vont me servir les résultats de
l’analyse de risques » ?
A mettre en place un SMSI ou construire un schéma directeur sécurité
? (oui)
A identifier de nouvelles mesures de sécurité à mettre en place sur
mon SI ? (non)
A identifier de nouvelles mesures de sécurité à mettre en place sur
mon SI, en fonction des besoins métier ? (oui)
A identifier des éléments qui me serviront de levier pour déclencher
un projet ou trouver du budget ? (oui)
A poursuivre mon projet en toute sérénité ? (oui)
Suivant la réponse, on ne mènera pas le même type de démarche.
Cependant, pour des raisons de cohérence, il sera intéressant de
définir pour une même organisation une démarche simplifiée et
une démarche complète.
17. COMMENT S’Y PRENDRE CONCRÈTEMENT ?
ATTENTION AUX DÉVIANCES !
Une analyse de risques, Une analyse de risques,
ça ne sert pas à… ça sert à…
Faire beau pour dire d’en Définir un Schéma Directeur,
avoir fait une (risque de initier un SMSI, de manière
décrédibiliser l’ensemble de la générale à appuyer une
démarche sécurité) gestion de la sécurité basée
sur les risques métiers
Remplacer un audit Sensibiliser et communiquer
sur les risques de
l’organisation
Juger l’IT et évaluer son
niveau de sécurité
Obtenir des leviers « métier »
pour dégager du budget,
déclencher un projet
18. COMMENT S’Y PRENDRE CONCRÈTEMENT ?
L’ANALYSE DE RISQUES « GLOBALE »
Quand Comment Resp. Impliqués
Approche Définir : RSSI Direction (CODIR,
globale (Schéma •Le périmètre (et ses limites) ou équivalent)
Directeur, •Le niveau de granularité Métiers
SMSI, ..) •Les échelles d’impact et de Managers
probabilité
•Les bases de vulnérabilités et
de menaces
Lorsque c’est la toute première Analyse de Risques réalisée :
•Commencer sur un périmètre bien défini voire restreint avec une granularité très
faible voire sans granularité
•Ce type d’analyse s’inscrit dans une démarche PDCA : l’analyse suivante pourra viser
un périmètre plus large ou une granularité plus fine !
19. COMMENT S’Y PRENDRE CONCRÈTEMENT ?
L’ANALYSE DE RISQUES « PROJET »
Quand Comment Resp. Impliqués
En début de Définir : Chef de Métiers utilisateurs
projet •Le périmètre (limites projet, (besoins)
techniques généralement) accompagné Principaux acteurs
•Le niveau de granularité par un acteur IT du projet
(modules fonctionnels) sécurité
•Les échelles, adaptées au
niveau d’impact du projet sur
l’activité
•Les bases de vulnérabilités et
de menaces (un peu plus
techniques)
Tout projet ne doit pas faire l’objet d’une Analyse de Risques complète. Il est
préférable de réaliser d’abord une rapide « analyse de sensibilité », qui déterminera si
le projet doit effectivement passer par une analyse de risques ou alors simplement par
une analyse simplifiée et réalisée de manière autonome sans la sécurité (issu de l’AR
globale qui a défini des mesures communes à toute l’organisation).
20. COMMENT S’Y PRENDRE CONCRÈTEMENT ?
AU CAS PAR CAS
Quand Comment Resp. Impliqués
Besoins ponctuels •Méthodologies adaptées Celui qui Dépendant du
(benchmark, suivi mais très simplifiées réalise la périmètre,
des vulnérabilités, •Périmètre réduit à une tâche, sans généralement peu
auto-évaluation, …) tâche, un actif, etc. appui de personnes
impératif de
la sécurité
Ce type d’analyse sera réalisé sur opportunité. On pourra l’appuyer par
exemple sur la méthodologie simplifiée définie pour les projets par exemple, mais il
sera nécessaire de s’ assurer que les échelles employées correspondent au périmètre.
21. AGENDA
Introduction et concepts
Méthodologies et normes
Concrètement
Outillage
Retours d’expérience
Facteurs clés de succès
Conclusion et questions
22. OUTILLAGE
L’ALTERNATIVE
Utiliser les outils des méthodologies (EBIOS, MEHARI)
Avantages Inconvénients
Bases de connaissances pré remplies Adaptation de la méthode à l’outil
Mécanismes implémentés Nécessite une formation et de l’expérience
Perte de maîtrise sur la méthodologie
Créer son propre outillage
Avantages Inconvénients
Implémentation pas à pas Bases de connaissance à renseigner
Formation par la pratique qui engendre Automatisation des calculs à implémenter
une meilleure maîtrise des concepts
L’outil s’adapte à la méthode et au Nécessite d’être documenté
contexte (bases de connaissances)
Quel que soit l’outil, il doit être maîtrisé (pour les ajustements) et
réutilisable (pour la revue des risques)
23. OUTILLAGE
MÉTHODOLOGIE – HOWTO AVEC EXCEL
Lire l’ISO/IEC 27005 (~ 20 pages utiles)
Onglet 1
Définition du contexte (quelques lignes)
Définition du périmètre
Activités essentielles et leur classification (au sens métier)
Actifs de support (ATTENTION à la granularité !)
Onglet 2
Définition des métriques (grilles de probabilité, impact,
acceptation du risque)
Onglet 3 (option pour l’automatisation)
Base des menaces et base des vulnérabilités
Onglet 4
Cartographie des risques consolidée par niveau (PPT)
Un peu de feeling et de pragmatisme permettent de réduire les bases de
menaces et de vulnérabilités et par conséquent d’être plus efficace
24. OUTILLAGE
MÉTHODOLOGIE – HOWTO AVEC EXCEL
Besoin de sécurité Disponibilité Intégrité Confidentialité Preuve
Faible Plus de 72h Détectable Public Pas de traces
Une perte d'intégrité, détectée
Une indisponibilité, planifiée Aucune exigence ni besoin de
ou non, perturbe peu les
1 ou non, n'impacte pas les Une divulgation de l'information n'a aucun impact trace n’est à prendre en
processus et peut rapidement
processus de soin compte
être corrigée
Moyen Entre 24 et 72h Maîtrisé Limité Traces simples
Une indisponibilité, limitée
Une divulgation à l'extérieur de l'entité peut porter
2 dans le temps, perturbe
atteinte à son image
légèrement les processus Une perte d'intégrité engendre
L’opération réalisée doit être
Fort Entre 4 et 24h des perturbations des Réservé
enregistrée et conservée avec
Une indisponibilité, de courte processus mais ne porte pas
Une divulgation aux personnes non autorisées un minimum d'information
durée, perturbe les processus atteinte à la survie de l'entité
3 nuit significativement à l'image et peut entrainer
mais ne porte pas atteinte à la
des pertes
survie de l'entité
Très fort Moins de 4h Intègre Privé Traces détaillées
Une indisponibilité, même de
Une perte d'intégrité porte L’opération réalisée doit être
courte durée, impacte
gravement atteinte aux Une divulgation de l'information nuit très enregistrée et conservée, de
4 directement les processus et
processus et éventuellement à gravement à l'entité victime de la divulgation façon à être en mesure d'être
peut porter atteinte à la survie
la survie de l'entité rejouée
de l'entité
Probabilité du scénario de menace
Niveaux de risque Très faible Faible Moyen Forte Très forte
(Très improbable) (Improbable) (Possible) (Probable) (Très probable)
Très faible 0 1 2 3 4
Impacts métier
Faible 1 2 3 4 5
Moyen 2 3 4 5 6
Fort 3 4 5 6 7
Très fort 5 6 6 7 8
25. OUTILLAGE Bien essentiel :
MÉTHODOLOGIE – HOWTO AVEC EXCEL Critère
Disponibilité
Niveau Justification
Intégrité
Confidentialité
L’identification des bons actifs et du bon Preuve
niveau de granularité est un facteur clé de Biens supports
Systèmes informatiques et de téléphonie
succès (éviter l’effet tunnel). ID
MAT1
Matériels Lien
LOC1
MAT2 LOC2
MAT3 LOC3
Par exemple, on pourra considérer en actifs ID
LOG1
Logiciels Lien
LOG2
de support « les serveurs Windows », « les LOG3
LOG4
équipements réseau », etc. pour éviter LOG5
LOG6
d’avoir à analyser les risques sur chaque LOG7
ID Canaux informatiques et de téléphonie Lien
serveur. RSX1
RSX2
Mesures de sécurité
Menaces Prise en Initial
ID Bien support Vulnérabilités exploitées im plém entées Conséquences Traitem ent
(référentiel ISO 27005) com pte
P I R
THEME 1 : Sinistres physiques
01 INCENDIE oui
02 DÉGÂTS DES EAUX oui
03 POLLUTION oui
04 SINISTRE MAJEUR oui
04 SINISTRE MAJEUR oui
DESTRUCTION DE
05 MATÉRIELS OU DE oui
SUPPORTS
THEME 2 : Evènem ents naturels
06 PHÉNOMÈNE CLIMATIQUE oui
07 PHÉNOMÈNE SISMIQUE oui
08 PHÉNOMÈNE VOLCANIQUE oui
PHÉNOMÈNE
09 oui
MÉTÉOROLOGIQUE
10 CRUE oui
THEME 3 : Perte de services essentiels
DÉFAILLANCE DE LA
11 oui
CLIMATISATION
26. AGENDA
Introduction et concepts
Méthodologies et normes
Concrètement
Outillage
Retours d’expérience
Facteurs clés de succès
Conclusion et questions
27. RETOURS D’EXPERIENCE
APPROCHE GLOBALE
Périmètre
Global SI
Ce qu’il s’est passé
Projet porté par le DSI (membre du CODIR)
Volonté d’entamer une approche par les risques
Identification de risques IT mais aussi RH, juridiques…
Crainte de présenter les résultats en dehors de la DSI
Conclusion
Belle analyse de risque… à la DSI
PTR IT mis en œuvre dans une grande majorité
PTR hors IT figé
L’entité n’était pas suffisamment mûre pour entamer une
démarche globale de pilotage par les risques
Le périmètre aurait pu être cantonné au domaine IT OU
des audits techniques auraient pu suffir
28. RETOURS D’EXPERIENCE
APPROCHE POUR UNE APPLICATION
Périmètre
Analyse de risques sur un progiciel
Ce qu’il s’est passé
Suite à discussion avec les métiers et la volonté client, découpage
fin du périmètre en modules fonctionnels du progiciel
(complexité et durée de l’analyse d’impact métier)
Au final, ce type d’application ne repose que sur quelques actifs
support. Les risques (menaces et vulnérabilités) ne sont donc pas
liés à un module particulier mais à l’ensemble du progiciel, qui
repose sur les mêmes actifs
Conclusions
Passer par une analyse simplifiée pour identifier sommairement
les risques principaux et les fonctions métier les plus sensibles
Focaliser l’analyse d’impacts métiers sur ces fonctions
Globaliser l’analyse des vulnérabilités sur l’ensemble de
l’architecture
29. AGENDA
Introduction et concepts
Méthodologies et normes
Concrètement
Outillage
Retours d’expérience
Facteurs clés de succès
Conclusion et questions
30. FACTEURS CLÉS DE SUCCÈS
Impliquer le métier (c’est lui le propriétaire)
Avoir un sponsor au bon niveau
Bien choisir son périmètre et sa granularité
Utiliser une méthodologie reproductible et partagée
Adapter la méthodologie à son propre contexte
(signaux compromettants)
Produire plusieurs vues des résultats adaptées à chaque
destinataire (Direction, IT, CP, Métier…)
31. ECUEIL À ÉVITER
Entamer une analyse de risque sans en avoir
préalablement défini les objectifs
Réaliser une analyse de risque alors que l’organisation
n’est pas assez mûre
Vouloir être exhaustif dès la première itération
Confondre analyse de risque, audit, classification…
Considérer l’analyse de risque comme un projet unitaire
Se reposer uniquement sur l’outil
Ne pas considérer les facteurs clés de succès ;)
32. AGENDA
Introduction et concepts
Méthodologies et normes
Concrètement
Outillage
Retours d’expérience
Facteurs clés de succès
Conclusion et questions
33. CONCLUSION
L’analyse de risque est le meilleur processus pour un pilotage
efficace et pragmatique de la sécurité
Il nécessite de maîtriser les concepts (accompagnement
sécurité)
Il s’agit d’un processus chronophage qui implique beaucoup
d’acteurs (Direction, métier, IT, activités support, …)
Ce processus ne peut être implémenté que dans des
organisations mûres, dans lesquelles le métier est souciant de
la sécurité
Sinon, opter pour d’autres outils tels que des audits
Hormis si l’on souhaite l’utiliser comme outil de sensibilisation du
métier
Le choix du périmètre et de la granularité est essentiel